Far comprendere ai dipendenti l’importanza della sicurezza: quattro modi per garantire la sicurezza IT sul luogo di lavoro
fonte: sito Microsoft
Per proteggere le informazioni memorizzate sui computer, la prima cosa da fare è rivolgersi ai dipendenti, specialmente a quelli che annotano le password in luoghi visibili o aprono gli allegati ai messaggi di posta elettronica senza precauzioni o scaricano e installano software da fonti non autorizzate.
CompTIA (Computing Technology Industry Association), una multinazionale nel settore IT, ha recentemente pubblicato una ricerca sulla sicurezza IT tra i dipendenti. La ricerca ha messo in evidenza come l’errore umano sia alla base di quasi il 50% di tutte le violazioni alla protezione. L’analisi ha attribuito gli errori a un’insufficiente conoscenza delle norme IT, a una formazione non adeguata o al mancato rispetto delle procedure di sicurezza.
Come fare in modo che i dipendenti siano più attenti alla sicurezza delle informazioni? È necessario un impegno costante. Se comunichi di cambiare la password solo una volta l’anno, non sarà mai possibile sviluppare una consapevolezza sufficiente per ridurre le violazioni della protezione.
Per assicurarti una maggior collaborazione da parte dei dipendenti, ecco quattro modi per fare in modo che la sicurezza aziendale diventi una priorità.
1. Parlare della sicurezza
L’invio di comunicazioni scritte sulle politiche di sicurezza è un buon inizio, ma è anche consigliabile parlare apertamente di sicurezza con i dipendenti. Per esempio, al termine di una riunione, chiedi a tutti se utilizzano il servizio Microsoft per installare gli aggiornamenti a Windows e Office necessari per la prevenzione degli attacchi software. Ciò dimostrerà che la sicurezza informatica è importante.
Parla di sicurezza informatica con i nuovi arrivati prima ancora che si siedano davanti al PC. Assicurati di fare questa discussione prima che ai nuovi dipendenti sia assegnata la password di accesso al PC.
2. Creare una politica di utilizzo consentito
Per politica di utilizzo consentito si intende un documento che stabilisca ciò che i dipendenti possono o non possono fare con i computer aziendali. Mettere per iscritto i criteri che devono essere osservati. Per esempio, i criteri per la creazione delle password, la frequenza con la quale è necessario cambiare password e le modalità di apertura degli allegati ai messaggi di posta elettronica provenienti da mittenti sconosciuti, oppure il divieto di installazione di software non autorizzato. Questo documento dovrebbe descrivere i provvedimenti in caso di violazione della politica, e dovrebbe essere firmato da ciascun dipendente. Anche il responsabile o titolare dovrebbe firmare una copia del documento.
Se la normativa è lunga e dettagliata, aiuta i dipendenti a ricordare i punti principali creando una pagina di riepilogo facilmente distribuibile, che ciascun dipendente possa esporre accanto alla propria postazione di lavoro.
3. Discutere su come gestire le informazioni riservate
Oltre ad adottare una politica di utilizzo consentito, scrivi un documento che descriva come gestire le informazioni riservate. Tale politica deve stabilire quali tipi di messaggi di posta elettronica o documenti possono essere inoltrati all’esterno della società, come gestire il materiale protetto dal diritto d’autore e quali tipi di informazioni sui clienti possono essere divulgate, e con quali modalità. Le norme possono inoltre vietare ai dipendenti di accedere a file che non sono autorizzati ad aprire o modificare, oppure fornire indicazioni su quali messaggi di posta elettronica debbano essere cancellati o salvati. Sarà nuovamente necessario far circolare il documento e farlo firmare a tutti i dipendenti.
4. Nominare un esperto di sicurezza aziendale
Nomina un “esperto di sicurezza” e rendi noto a tutti che questa persona è disponibile a rispondere e risolvere tutti i dubbi relativi alla sicurezza. Se l’azienda dispone di personale informatico, l’esperto di sicurezza verrà scelto in questo gruppo. Tuttavia, se il responsabile, il titolare o un altro dipendente esperto si occupano dei sistemi informatici, allora uno di essi potrebbe ricoprire l’incarico. Se possibile, l’esperto di sicurezza dovrebbe condurre verifiche con altri dipendenti presso la loro postazione di lavoro.
La creazione di un luogo di lavoro sicuro richiede uno sforzo collettivo che inizia con l’attenzione costante da parte dei responsabili aziendali. La sicurezza delle informazioni non si ottiene senza l’impegno personale dei titolari e dei responsabili.